内部統制の整備に際して運用管理のレベルアップに取り組むときは,運用管理のベストプラクティス集である「ITIL」が参考になる。ITILの概要とITILを内部統制に生かすポイントを紹介しよう。

 これまで説明したように内部統制を整備する上では,ITの統制が大きなカギである。金融庁が公表した実施基準に示された内部統制に関する評価項目では「ITへの対応」の例として「経営者は,ITに関する適切な戦略,計画等を定めているか」や「経営は,ITに係る全般統制及びITに係る業務処理統制についての方針及び手続きを適切に定めているか」といったものが挙げられている。

 これから分かるように,ITの統制を含む「ITへの対応」は,企業が組織的・体系的に整備するもので,単に現場の担当者のスキルやツールで実現するものではない。運用管理においては統一したポリシーを作成・適用し,それに基づいた正しい作業内容や手順を定めて,規定通りの作業を行うような体制が要求される。

 この体制を実現する上で,非常に参考になるのが「ITIL」である。ITILは,運用管理業務に関するベストプラクティス集で,英国の政府機関OGC(Office of Government Commerce)が書籍として提供している。

 1980年後半に作成されたITILは,継続的に見直し・拡充を実施しており,2000年頃から世界的に注目を集めるようになった。現在,ITILは運用管理のフレームワークのデファクト・スタンダードとして広く認められている。

 ITILの魅力は,運用管理業務を体系化して整理していることだ。ITILの登場まで,運用管理に関するノウハウは,担当者や部署が個別に持つことが当然と考えられてきた。その場合,何らかの課題が発生したとき,担当者や部署によって対応内容に違いが出たり,対応レベルや時間にバラツキが生じたりするといった問題があった。

運用管理の標準化を進めるITIL

 ITILは,そのような弊害を解消するために作られた。企業が取り組むべき運用管理業務を漏れなくピックアップし,整理して文書化,それぞれについて,目的や作業内容・作業手順を「標準化した形で」記述している。

 ITILの主な項目を図1に示す。主な項目は「サービスサポート」と「サービスデリバリ」の二つに分類されている。前者は,障害への対応やその予防といった日々の運用手法に関する記述であり,後者はサービス・レベルの管理など中長期的な管理手法に関する記述である。

図1●内部統制整備に役立つ運用管理のベストプラクティスITILの主な項目
図1●内部統制整備に役立つ運用管理のベストプラクティスITILの主な項目
ITILはITサービスマネジメントのベストプラクティス集。日々の運用手法を記述したサービスサポートと中長期的な管理手法を記述したサービスデリバリから成る。ITILを内部統制整備の一環として取り入れれば非常に効果的だ  [画像のクリックで拡大表示]

 ITILを適用したい企業は,ITILの記述に,自社の環境に合わせた詳細な作業内容・手順を追加すればよい。

 ITILでは,組織全体としての標準的な運用管理方法を確立する。これは既に述べたように,内部統制の整備における「ITへの対応」と同じである。ITILを適切に適用していけば,運用管理業務におけるミスや漏れはなくなる。そうしたことがIT統制の実現にもつながるのである。

 同様な理由で,ITILに対応した運用管理ツールを内部統制の整備において利用すれば非常に効果的である。

 JP1は,V8.1へのバージョンアップでITILサービスデスク製品「JP1/IM-SS(JP1/Integrated Management-Service Support)」を追加した。この製品はITILが規定する項目のうち,「サービスデスク」機能を提供する。

ツールで正しいプロセスを実現

 サービスデスクとは,システムの利用者からの問い合わせについて横断的な単一の窓口を提供する機能である。JP1/IM-SSは,システム障害に即座に対応する「インシデント管理」,予防的な対応を実現する「問題管理」,変更プロセスの管理を実施する「変更管理」,変更管理の承認によって実施する「リリース管理」といった各運用プロセスの作業を案件という共通の単位で管理する。ITILサービスサポートの「構成管理」を支援するJP1/NETM/AIM(JP1/NETM/Asset Information Manager)と連携させることで,ITILサービスサポートに分類される活動を正しいプロセスに則り,包括的に実現できる(図2)。

図2●ITILサービスデスクで内部統制を整備する
図2●ITILサービスデスクで内部統制を整備する
インシデント管理からリリース管理まで正しいプロセスでシステムの運用管理作業を行え,内部統制の整備に役立つ。JP1 V8.1は本格的なサービスデスクの機能を備えた  [画像のクリックで拡大表示]

 例えば,システムの障害発生に対応して,インシデント管理においてある案件を作成したとしよう。それと関係を持たせた形で,問題管理や変更管理の案件を作成できる。これにより,インシデント管理の担当者が受けたシステム障害を,問題管理を受け持つ別の担当者へエスカレーションして同じ障害の発生を予防する作業を依頼するといった連携が容易になる。

 さらに統合管理 JP1/IM(JP1/Integrated Management)と連携することでシステム障害に関する障害情報をインシデントとして自動登録することができるので効率よく案件管理対応を進められる。

 エスカレーション先が対応を済ませるなどで案件をクローズした際にエスカレーション元に通知することも可能で,各プロセスの担当者間で案件の情報がスムーズに共有できる。

 作成した案件はシステム単位で分類して管理している。案件を検索することも,もちろん可能で,過去に同じような案件があれば,それを簡単に探して参考にすることができる。

 ツールの利用者である各プロセスの担当者については,きめ細かくロールと権限が設定できる。

 例えば,案件の受け付けは「オペレータ」というロールの担当者が行い,調査は「専門家」ロールの担当者が実施し,結果を「インシデント管理者」ロールの担当者が審査するといった設定が可能だ。

 インシデントなど各プロセスの案件登録の際には,日立のサポート部門で培われた案件管理ノウハウを盛り込んだ作業管理テンプレートを標準で利用できる。「どこから手を付ければいいかわからない」と悩む運用管理担当者はまずテンプレートをもとに利用を始めればよい。

 もちろん,自社の環境に合わせた項目の追加・変更・削除,項目の表示順変更といったカスタマイズは自由に行えるようになっている。